shiro Filter加载和执行 源码解析

已于 2023-12-10 06:36:09 修改
阅读量1.3k 收藏 20
点赞数 23
文章标签: java 前端 开发语言
于 2023-12-10 00:35:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_21190847/article/details/134901628
版权
文章详细解析了若依框架中使用Shiro安全框架时,自定义验证码过滤器的加载流程,包括ShiroFilterFactoryBean的配置、FilterChainManager的创建和过滤器执行链的构建过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、背景

在使用若依框架(前后端不分离包含shiro安全框架)时,发现作者添加了验证码、登录帐号控制等自定义过滤器,于是对自定的过滤器加载和执行流程产生疑问。下面以验证码过滤器为例,对源码解析。注意类之间的继承关系和类中属性存储的值。

二、过滤器加载流程

1、ShiroFilterFactoryBean类创建

(1)、在ShiroConfig中有ShiroFilterFactoryBean创建及配置类(若依中使用的是CustomShiroFilterFactoryBean,继承了ShiroFilterFactoryBean),其中有两个重要配置,一是filters,自定义过滤器Map集合,key为拦截器别名,可以配置在FilterChainDefinitionMap中value值,value是过滤器实体,二是FilterChainDefinitionMap,key为要过滤的url,value是使用的过滤器别名,需要和filters中key值匹配。例如如下图,/login及/register两个url会被验证码过滤器过滤。
在这里插入图片描述

2、FilterChainManager类创建

(1)、CustomShiroFilterFactoryBean继承了ShiroFilterFactoryBean实现了FactoryBean类所以spring创建这种类型的类时,会执行getObject如果对象不存在则创建执行createInstance。在这里插入图片描述
(2)、在createInstance 中会执行createFilterChainManager方法创建FilterChainManager,createFilterChainManager方法中会给FilterChainManager设置两个重要属性,第一个遍历(1.1处配置)filters集合给FilterChainManager中的filters集合赋值,key为filter别名,value为filter实体,此时会给Nameable类型filter设置Name为filter别名。此时FilterChainManager中属性filters中添加了所有自定义过滤器和系统默认的过滤器。系统默认过滤器时在创建对象DefaultFilterChainManager构造方法中调用addDefaultFilters添加,DefaultFilterChainManager继承FilterChainManager。在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
(3)、获取(上面1.1配置)FilterChainDefinitionMap过滤器链并遍历,在DefaultFilterChainManager中执行createChain创建过滤器执行链。
在这里插入图片描述
filterTokens为filter别名数组,遍历数组执行addToChain,第一个参数是url,第二个是filter别名,第三个是filter配置参数。继续跟踪addToChain。在这里插入图片描述
(4)、SimpleNamedFilterList实现了NamedFilterList类,addToChain方法中创建SimpleNamedFilterList类,ensureChain方法把filter放入SimpleNamedFilterList类属性backingList集合中。DefaultFilterChainManager中属性filterChains中存的是以url为key,value是SimpleNamedFilterList类型的对象。
在这里插入图片描述
在这里插入图片描述
(5)、总结一下,创建DefaultFilterChainManager完成后,DefaultFilterChainManager中有两个重要属性,一个是filters所有过滤器map集合,第二个是filterChains所有url对应过滤器链,例如/login,对应SimpleNamedFilterList类中属性backingList集合中有invaldRequetFilter、AnonymousFiter、CaptchaValidateFilter三个过滤器。

3、MySpringShiroFilter类创建

PathMatchingFilterChainResolver类中setFilterChainManager把2中创建的DefaultFilterChainManager设置到filterChainManager属性中。创建MySpringShiroFilter时,通过构造函数把PathMatchingFilterChainResolver传入。MySpringShiroFilter继承自AbstractShiroFilter,最终给AbstractShiroFilter的属性filterChainResolver赋值。
在这里插入图片描述
在这里插入图片描述
总结一下,通过shiroConifg类最终创建出的mySpringShiroFilter继承AbstactShiroFilter,AbstactShiroFilter中属性filterChainResolver为pathMatchingFilterChainResolver,AbstactShiroFilter继承了OncePerRequestFilter,所以在过滤url时执行doFilterInternal方法。

4、过滤器执行流程

doFilterInternal中执行executeChain->getExecutionChain在这里插入图片描述
getFilterChainResolver获取PathMatchingFilterChainResolver,执行PathMatchingFilterChainResolver中的getChain
在这里插入图片描述
如下图执行步骤,匹配成功后执行DefaultFilterChainManager类中proxy方法。在这里插入图片描述
通过url获取SimpleNamedFilterList类,执行SimpleNamedFilterList类中proxy方法。在这里插入图片描述
创建出ProxiedFilterChain对象,其中第二个参数是SimpleNamedFilterList自身。在这里插入图片描述在这里插入图片描述
最终返回ProxiedFilterChain对象,执行ProxiedFilterChain中doFilter方法,会按顺序执行该url对应的过滤器。在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
captchaValidateFilter继承关系,执行captchaValidateFilter的doFilter方法
在这里插入图片描述
时会进入父类OncePerRequestFilter的doFilterInternal,在这里插入图片描述
进入父类adviceFilter的doFilterInernal,在这里插入图片描述

进入父类PathMatchingFilter中preHandle,配上url后,执行isFilterChainContinued在这里插入图片描述
在这里插入图片描述
执行到父类AccessControlFilter的onPreHandle,最终执行到本类CaptchaValidateFilter的onAccessDenied和onAccessDenied方法,有一个满足即为true.
在这里插入图片描述
执行完成后,继续返回到adviceFilter.判断是否继续执行下一个filter。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

曾令胜
关注
Shiro的authc过滤器执行流程
likunpeng6656201的博客
07-30 3338
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题? 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问...
shiro讲解之 Shiro Filter
Dusty丶one的博客
10-26 1243
shiro讲解之 Shiro Filter本章节将详细说明Shiro Filter。概念 什么是Shiro FilterShiro 提供了与 Web 集成的支持,其通过一个ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制。 ShiroFilter 类似于如 Strut2/SpringMVC 这种web 框架的前端控制器,是安全控制的入口点,其负责读取配置(如ini 配置文件
Shiro filters
wwq518的博客
05-09 418
shiro filter
使用ShiroFilter的具体执行流程
Katharsis_2021的博客
10-26 636
今天在项目中进行迁移的时候,因为用的是人人的开源后端系统。该系统集成了Shiro,因为这段时间个人也在研究Shiro。看到人人后端的用法与自己之前所学的并不是很相同,所以就在网上找了下为什么要这么写。并把想法记录下来。
shiro过滤器执行流程
weixin_42475998的博客
03-08 1049
shiro默认filter执行顺序 OncePerRequestFilter CharacterEncodingFilter OncePerRequestFilter WebMvcMetricsFilter FormContentFilter XssFilter OncePerRequestFilter Spring的OncePerRequestFilter类实际上是一个实现了Filter接口的抽象类。 确保在一次请求中只通过一次filter,而不需要重复的执行 CharacterEncodingFilt
shiro学习笔记:整合spring之拦截器链执行流程
Boone的博客
02-18 3415
一、环境准备搭建好spring + shiro整合环境(本文环境Spring 4.3.10.RELEASE + Shiro 1.4.0)后,编写登录页面如下:<html> <head> <title>登录页</title> </head> <body> <div style="color:red;"&
Shiro 入门教程 - Shiro Web 集成
smart_an的专栏
07-19 753
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Shiro 入门教程 - Shiro Spring 集成
最新发布
smart_an的专栏
07-19 740
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
shiro认证授权的过程
05-01
源码解析** 了解Shiro的工作原理,我们可以通过阅读源码来深入理解其内部实现。Shiro的认证授权流程主要集中在`DefaultSubjectExecutor`、`AuthenticationManager`、`AuthorizingRealm`等类中。这些类通过回调...
SSM框架实战项目:经典图书管理系统源码解析
资源摘要信息:"该项目是一个使用Java语言开发的图书管理系统,采用SSM框架(Spring, SpringMVC, MyBatis)作为后端技术栈,并集成Shiro进行安全控制,使用Maven进行项目管理构建,前端界面则使用Bootstrap框架来...
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shirofilter配置在所有的filter前面,当然encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.youkuaiyun.com/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6751
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
Shiro自定义过滤器
weixin_30561177的博客
04-11 137
项目中需要所有首次登录的用户必须修改密码才可使用系统,项目采用的是Shiro框架。 突然想到了配置文件org.apache.shiro.spring.web.ShiroFilterFactoryBean中的loginUrl,校验未登录则跳转到登录地址。索性研究了它的源码后可以继承AccessControlFilter自定义自己的过滤器。 自定义Shiro过滤器: package com....
Shiro内部过滤器执行顺序
Jay的博客
07-29 3389
FormAuthenticationFilter 下面的分析流程我们以Post提交表单登陆为例(FormAuthenticationFilter)。 通过第一篇,我们已经知道shrio是如何从Spring MVC中接管web请求的,并且循环调用配置的filters,接下来先看一张filter执行的概览图 调用FormAuthenticationFilter.doFilter()方法,判断当前filter有没有重复执行; 调用doFilterInternal(),真正执行fiter认证流程执行剩余的fil
Shiro学习】ShiroFilter源码分析
fxkcsdn的博客
10-14 314
通过上篇对FilterChainManager的学习,可以知道,FilterChainManager是ShiroFilter的基础,包括维护filter列表、请求路径到过滤器链的映射代理原过滤器链,从而让shiro过滤器执行ShiroFilter使用FilterChainManager代理原过滤器ShiroFiltershiro的入口点,当请求路径到达ShiroFilter...
shiro源码篇 - shirofilter,你值得拥有
weixin_30545285的博客
12-06 117
前言   开心一刻     已经报废了一年多的电脑,今天特么突然开机了,吓老子一跳,只见电脑管家缓缓地出来了,本次开机一共用时一年零六个月,打败了全国0%的电脑,电脑管家已经对您的电脑失去信心,然后它把自己卸载了,只剩我在一旁发呆。   路漫漫其修远兮,吾将上下而求索!   github:https://github.com/youzhibing   码云(gitee):https:...
Shiro Filters
Passion, Interested
05-06 238
1. Overview 对于web应用,Shiro提供了认证授权的过滤器实现。 2. Architecture [img]http://dl.iteye.com/upload/attachment/0083/9506/b022d723-8c47-3c5b-98d4-87d210448a4c.jpg[/img] a. ServletContextSupport 提供了对Se...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值